W32badtrans
jean claude remy
-
Mister BeeGee Messages postés 1415 Statut Membre -
Mister BeeGee Messages postés 1415 Statut Membre -
je suis novive!!!
apres utilisation de norton antivirus,ce dernier a detecte un virus denomme W32badtrans
le fichier c/windows/system/kdll.dll endommage ne peut etre repare
il est en quarantaine!
mon ordi presente des symptomes de dysfonctionnement(temps de reponse parfois tres long sur internet,out look met 60 secondes pour s'ouvrir voire plus!! etc...
que dois je faire avec ce fichier mis en quarantaine?
l'aide de norton me propose de le supprimer et d'en faire une copie saine! en plus concret que dois faire precisement?
merci
apres utilisation de norton antivirus,ce dernier a detecte un virus denomme W32badtrans
le fichier c/windows/system/kdll.dll endommage ne peut etre repare
il est en quarantaine!
mon ordi presente des symptomes de dysfonctionnement(temps de reponse parfois tres long sur internet,out look met 60 secondes pour s'ouvrir voire plus!! etc...
que dois je faire avec ce fichier mis en quarantaine?
l'aide de norton me propose de le supprimer et d'en faire une copie saine! en plus concret que dois faire precisement?
merci
4 réponses
D'apres e que j'ai vu sur ce site le fichier kdll.dll C'EST le virus!!!!
A confirmer sur:
http://www.commentcamarche.net/virus/badtrans.php3
A confirmer sur:
http://www.commentcamarche.net/virus/badtrans.php3
C'est sur que ton ordi est long et outlook express aussi car c'est par celui-ci que le virus s'envoie à ton insu à tout tes contatcts. Le fichier en quarantaine est d'après moi le virus. Conseil supprime et rescanne ton ordi au grand complet.
Les sites INDISPENSABLES à connaître :
Encyclopédie des virus à : http://aspirine.altasecu.com/control.html?encyclo
Pour connaître les alertes ou en cas de soupçon d'infection : http://www.secuser.com/alertes/index.htm
Pour les FAUX VIRUS (canulars ou hoax) : http://www.hoaxbuster.com/hliste/liste1.html
Voici les infos trouvées à : http://aspirine.altasecu.com/control.html?encyclo
Badtrans
TYPE: ver Internet
CARACTERISTIQUES: installe un composant qui vole les mots de passe ; peut crasher les serveurs de courriers à cause d'un bug. Cause des problèmes de clavier à cause d'un autre bug.
TAILLE: 13 ko compressé, 40 ko décompressé
DECOUVERT: trouvé dans la nature le 12 avril 2001 script de désinfection
Voir aussi la variante plus récente Badtrans.B
Badtrans se propage dans un fichier attaché à un courrier électronique. Ce courrier infecté vient toujours en réponse à un message, donc on ne peut le recevoir que de la part de quelqu'un à qui on vient d'écrire. Le fichier joint peut avoir n'importe lequel des noms suivants :
Pics.ZIP.scr
images.pif
README.TXT.pif
New_Napster_Site.DOC.scr
news_doc.scr
hamster.ZIP.scr
YOU_are_FAT!.TXT.pif
searchURL.scr
SETUP.pif
Card.pif
Me_nude.AVI.pif
Sorry_about_yesterday.DOC.pif
s3msong.MP3.pif
docs.scr
Humor.TXT.pif
fun.pif
Souvent, l'extension .pif n'est pas affichée. Le corps du message est une copie du message d'origine, avec en plus la ligne
> Take a look to the attachment.
Si on clique sur ce fichier joint, le ver installe 3 fichiers :
C:\Windows\INETD.EXE
C:\Windows\HKK32.EXE ou C:\Windows\System\KERN32.EXE
C:\Windows\System\HKSDLL.DLL
Les 2 derniers fichiers forment le programme de vol de mots de passe. Il envoie les informations recueillies à l'adresse ld8dl1@mailandnews.com.
A la fin de son installation, Badtrans affiche un faux message d'erreur contenant le texte :
Install error
File data corrupt:
probably due to bad data transmission or bad disk access.
Une fois installé, il ouvre tous les courriers électroniques reçus et y répond en envoyant un message infecté. A cause d'un bug, deux ordinateurs infectés peuvent s'envoyer mutuellement des messages et se répondre l'un l'autre en cascade, ce qui plante assez rapidement le système. Dans certains cas, Badtrans peut aussi répondre sans arrêt au même message, et là aussi planter l'ordinateur.
Le programme de vol de mots de passe empêche le clavier de fonctionner correctement : les accents circonflexes et trémas sont affichés à côté des lettres (par exemple, c^^oté au lieu de côté).
Détails techniques :
Badtrans utilise le système MAPI, ce qui veut dire qu'il peut utiliser la plupart des logiciels de courrier.
Pour être lancé à chaque démarrage de Windows, Badtrans cré une clé dans la base de registres sous Windows NT/2000:
HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows
RUN = C:\WINDOWS\INETD.EXE
Sous Windows 95/98, il modifie le fichier Win.ini en modifiant la ligne
run=C:\WINDOWS\INETD.EXE
dans la section [windows]. L'ancienne valeur est perdue.
Le programme de vol de mots de passe installe aussi une clé dans la base de registres : HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce\kernel32 = kern32.exe
Il vérifie la présence de cette clé toutes les 20 secondes, et la remet si elle a été effacée.
Variante plus récente Badtrans.B
TYPE: ver Internet
CARACTERISTIQUES: installe un composant qui vole les mots de passe ; Cause des problèmes de clavier à cause d'un autre bug.
TAILLE: 29 ko
DECOUVERT: en plusieurs points d'Europe le 24 novembre 2001 script de désinfection
Badtrans.B est une variante de Badtrans. Comme la version originale, il se propage dans un fichier attaché à un courrier électronique. La nouveauté, c'est qu'il utilise un bug d'Outlook, qui lui permet de s'installer sur l'ordinateur du destinataire dès que le mail est ouvert, sans que l'utilisateur clique sur le fichier attaché.
Détails sur ce bug, sur le site de Microsoft (en anglais) :
http://www.microsoft.com/windows/ie/downloads/critical/q290108/default.asp
Pour les happy few qui utilisent un autre logiciel de courrier qu'Outlook, Badtrans ne s'installe que si on clique sur le fichier attaché (normal, quoi).
Si Badtrans.B réussit à s'installer, il crée les fichiers Kernel32.exe et KDLL.dll, Protocol.dll et CP_25389.NLS dans le dossier système de Windows.
Ensuite, il envoie des courriers infectés aux adresses qu'il trouve en scannant les fichiers html (en fait, toutes les extensions qui débutent par HT) et asp. Il trouve aussi des adresses dans les mails reçus. Le courrier envoyé n'a pas d'objet en général (juste Re:), sauf quand rarement il reprend l'objet d'un courrier réel. L'adresse de l'expéditeur est la plupart du temps la vraie, avec un tiret ( _ ) ajouté au début, et parfois une fausse choisie dans une liste. Le corps du message est vide, et le fichier attaché a un nom formé des éléments suivants : Nom 1ère extension 2ème extension
Pics
Card
images
Me_nude
README
Sorry_about_yesterday
New_Napster_Site
info
news_doc
HAMSTER
Humor
YOU_are_FAT!
fun
stuff
searchURL
SETUP
s3msong
.DOC
.ZIP
.MP3
.scr
.pif
Exemple : Me_nude.MP3.scr
Comme son ancêtre Badtrans.A, Badtrans.B installe sur les ordinateurs infectés un programme de vol de mots de passe (le fichier KDLL.dll). Ce programme est parfois détecté sous le nom "Hooker" ou "Trojan.PSW.Hooker". Il collecte des informations sur la machine (adresse IP, mots de passe, touches frappées au clavier...) et les envoie par mail, ici à une adresse sur hotmail. Ce programme empêche le clavier de fonctionner correctement : les accents circonflexes et trémas sont affichés à côté des lettres (par exemple, c^^oté au lieu de côté).
Avant de désinfecter un PC touché par Badtrans.B, il vaut mieux installer le patch de sécurité publié par Microsoft (en mars 2001, quand-même) :
Pour Internet Explorer 5.5, Windows 98/Me : http://download.microsoft.com/download/ie55sp1/secpac17/5.5_SP1/WIN98Me/fr/q290108.exe
Pour Internet Explorer 5.01, Windows 98 : http://download.microsoft.com/download/ie501sp1/secpac17/5.01_SP1/WIN98/fr/q290108.exe
Les courageux peuvent lire le détail en anglais : http://www.microsoft.com/windows/ie/downloads/critical/q290108/default.asp
Une fois ce patch installé, pour désinfecter la machine il suffit de lancer ce script : http://aspirine.altasecu.com/desinf/index.html
Encyclopédie des virus à : http://aspirine.altasecu.com/control.html?encyclo
Pour connaître les alertes ou en cas de soupçon d'infection : http://www.secuser.com/alertes/index.htm
Pour les FAUX VIRUS (canulars ou hoax) : http://www.hoaxbuster.com/hliste/liste1.html
Voici les infos trouvées à : http://aspirine.altasecu.com/control.html?encyclo
Badtrans
TYPE: ver Internet
CARACTERISTIQUES: installe un composant qui vole les mots de passe ; peut crasher les serveurs de courriers à cause d'un bug. Cause des problèmes de clavier à cause d'un autre bug.
TAILLE: 13 ko compressé, 40 ko décompressé
DECOUVERT: trouvé dans la nature le 12 avril 2001 script de désinfection
Voir aussi la variante plus récente Badtrans.B
Badtrans se propage dans un fichier attaché à un courrier électronique. Ce courrier infecté vient toujours en réponse à un message, donc on ne peut le recevoir que de la part de quelqu'un à qui on vient d'écrire. Le fichier joint peut avoir n'importe lequel des noms suivants :
Pics.ZIP.scr
images.pif
README.TXT.pif
New_Napster_Site.DOC.scr
news_doc.scr
hamster.ZIP.scr
YOU_are_FAT!.TXT.pif
searchURL.scr
SETUP.pif
Card.pif
Me_nude.AVI.pif
Sorry_about_yesterday.DOC.pif
s3msong.MP3.pif
docs.scr
Humor.TXT.pif
fun.pif
Souvent, l'extension .pif n'est pas affichée. Le corps du message est une copie du message d'origine, avec en plus la ligne
> Take a look to the attachment.
Si on clique sur ce fichier joint, le ver installe 3 fichiers :
C:\Windows\INETD.EXE
C:\Windows\HKK32.EXE ou C:\Windows\System\KERN32.EXE
C:\Windows\System\HKSDLL.DLL
Les 2 derniers fichiers forment le programme de vol de mots de passe. Il envoie les informations recueillies à l'adresse ld8dl1@mailandnews.com.
A la fin de son installation, Badtrans affiche un faux message d'erreur contenant le texte :
Install error
File data corrupt:
probably due to bad data transmission or bad disk access.
Une fois installé, il ouvre tous les courriers électroniques reçus et y répond en envoyant un message infecté. A cause d'un bug, deux ordinateurs infectés peuvent s'envoyer mutuellement des messages et se répondre l'un l'autre en cascade, ce qui plante assez rapidement le système. Dans certains cas, Badtrans peut aussi répondre sans arrêt au même message, et là aussi planter l'ordinateur.
Le programme de vol de mots de passe empêche le clavier de fonctionner correctement : les accents circonflexes et trémas sont affichés à côté des lettres (par exemple, c^^oté au lieu de côté).
Détails techniques :
Badtrans utilise le système MAPI, ce qui veut dire qu'il peut utiliser la plupart des logiciels de courrier.
Pour être lancé à chaque démarrage de Windows, Badtrans cré une clé dans la base de registres sous Windows NT/2000:
HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows
RUN = C:\WINDOWS\INETD.EXE
Sous Windows 95/98, il modifie le fichier Win.ini en modifiant la ligne
run=C:\WINDOWS\INETD.EXE
dans la section [windows]. L'ancienne valeur est perdue.
Le programme de vol de mots de passe installe aussi une clé dans la base de registres : HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce\kernel32 = kern32.exe
Il vérifie la présence de cette clé toutes les 20 secondes, et la remet si elle a été effacée.
Variante plus récente Badtrans.B
TYPE: ver Internet
CARACTERISTIQUES: installe un composant qui vole les mots de passe ; Cause des problèmes de clavier à cause d'un autre bug.
TAILLE: 29 ko
DECOUVERT: en plusieurs points d'Europe le 24 novembre 2001 script de désinfection
Badtrans.B est une variante de Badtrans. Comme la version originale, il se propage dans un fichier attaché à un courrier électronique. La nouveauté, c'est qu'il utilise un bug d'Outlook, qui lui permet de s'installer sur l'ordinateur du destinataire dès que le mail est ouvert, sans que l'utilisateur clique sur le fichier attaché.
Détails sur ce bug, sur le site de Microsoft (en anglais) :
http://www.microsoft.com/windows/ie/downloads/critical/q290108/default.asp
Pour les happy few qui utilisent un autre logiciel de courrier qu'Outlook, Badtrans ne s'installe que si on clique sur le fichier attaché (normal, quoi).
Si Badtrans.B réussit à s'installer, il crée les fichiers Kernel32.exe et KDLL.dll, Protocol.dll et CP_25389.NLS dans le dossier système de Windows.
Ensuite, il envoie des courriers infectés aux adresses qu'il trouve en scannant les fichiers html (en fait, toutes les extensions qui débutent par HT) et asp. Il trouve aussi des adresses dans les mails reçus. Le courrier envoyé n'a pas d'objet en général (juste Re:), sauf quand rarement il reprend l'objet d'un courrier réel. L'adresse de l'expéditeur est la plupart du temps la vraie, avec un tiret ( _ ) ajouté au début, et parfois une fausse choisie dans une liste. Le corps du message est vide, et le fichier attaché a un nom formé des éléments suivants : Nom 1ère extension 2ème extension
Pics
Card
images
Me_nude
README
Sorry_about_yesterday
New_Napster_Site
info
news_doc
HAMSTER
Humor
YOU_are_FAT!
fun
stuff
searchURL
SETUP
s3msong
.DOC
.ZIP
.MP3
.scr
.pif
Exemple : Me_nude.MP3.scr
Comme son ancêtre Badtrans.A, Badtrans.B installe sur les ordinateurs infectés un programme de vol de mots de passe (le fichier KDLL.dll). Ce programme est parfois détecté sous le nom "Hooker" ou "Trojan.PSW.Hooker". Il collecte des informations sur la machine (adresse IP, mots de passe, touches frappées au clavier...) et les envoie par mail, ici à une adresse sur hotmail. Ce programme empêche le clavier de fonctionner correctement : les accents circonflexes et trémas sont affichés à côté des lettres (par exemple, c^^oté au lieu de côté).
Avant de désinfecter un PC touché par Badtrans.B, il vaut mieux installer le patch de sécurité publié par Microsoft (en mars 2001, quand-même) :
Pour Internet Explorer 5.5, Windows 98/Me : http://download.microsoft.com/download/ie55sp1/secpac17/5.5_SP1/WIN98Me/fr/q290108.exe
Pour Internet Explorer 5.01, Windows 98 : http://download.microsoft.com/download/ie501sp1/secpac17/5.01_SP1/WIN98/fr/q290108.exe
Les courageux peuvent lire le détail en anglais : http://www.microsoft.com/windows/ie/downloads/critical/q290108/default.asp
Une fois ce patch installé, pour désinfecter la machine il suffit de lancer ce script : http://aspirine.altasecu.com/desinf/index.html
detruire? copie saine ?(comment?)